Rev. Abril 2021

Contenido

• Objetivos

• Programa de Cumplimiento

Cumplimiento General

• Objetivos

• Su rol en combatir el fraude, abuso y despilfarro

• Programa de Fraude, Abuso y Despilfarro

Fraude, Abuso y Despilfarro

• Objetivos

• HIPAA

Privacidad

• Repaso

• Examen

Revisión

Acrónimos

ACA Ley de Atención Médica Asequible (de bajo costo) CHIP Seguro Médico para los Niños CMHC Atención Comunitaria de Salud Mental CMP Multas Civiles CMS Centros de Servicios de Medicare y MedicaidCPI Centro para la Integridad del Programa DoD Departamento de Defensa DOJ Departamento de Justicia FBI Buró Federal de Investigaciones FCA Ley de Reclamos Fraudulentos FPS Sistema de Prevención del FraudeHCFAC Control del Fraude y del Abuso en los Servicios de Salud HHS Departamento de Salud y Servicios Humanos NBI MEDIC Contratista Nacional para la Integridad del Beneficio de las Recetas Médicas MFCU Unidades de Control del Fraude a MedicaidOIG Oficina del Inspector General SSA Administración del Seguro Social SSN Número de Seguro Social TTY Teletipo/Teléfono de texto

3

Adiestramiento Cumplimiento General

ObjetivosEl adiestramiento de cumplimiento contiene los siguientes temas:

• Operación y funcionalidad de un Programa de Cumplimiento• Métodos para reportar violaciones al Programa de Cumplimiento

Requisitos de un Programa de CumplimientoUn programa efectivo de cumplimiento debe:

• Identificar y demostrar el compromiso organizacional sobre la conducta legal y ética• Proveer guías sobre el manejo de preguntas e inquietudes de cumplimiento• Proveer guías de cómo identificar y reportar violaciones de cumplimiento

Objetivos

5

¿Qué es un programa efectivo de cumplimiento?Un programa efectivo de cumplimiento promueve una cultura ética de cumplir con losestándares organizacionales como:

• La prevención, detección y corrección de incidentes de cumplimiento• Debe estar implementado y adaptado a las operaciones particulares de cada

organización• Mantiene recursos adecuados• Promueve los estándares de conducta de la organización• Establece líneas efectivas de comunicación para reportar incidentes de

cumplimiento

Un programa efectivo de cumplimiento es esencial en la prevención, detección ycorrección de incidentes de cumplimiento, incluyendo casos potenciales de Fraude,Abuso y Despilfarro (FWA).

Como mínimo, se deben mantener los siete (7) elementos claves según regulaciónfederal para demostrar la efectividad del mismo.

Programa Efectivo de Cumplimiento

6

Siete (7) Elementos de Cumplimiento

1. Políticas y Procedimientos, Estándares de ConductaLas políticas y procedimientos demuestran el compromisoorganizacional de cumplir con las leyes y regulaciones estatales y federales según su compañía. Los estándares de conducta demuestranlas expectativas de su compañía y el comportamiento de los empleados.

2. Oficial de Cumplimiento, Comité de CumplimientoCada entidad debe designar un Oficial de Cumplimiento y un Comité de Cumplimiento que tenga la responsabilidad de implementar el Programa de Cumplimiento, incluyendo investigaciones, incidentesreportados y resolución de los incidentes, siempre y cuando se relacionen con el programa de cumplimiento.

3. Adiestramientos y Educación EfectivaLos adiestramientos del programa de cumplimiento deben incluir temasrelacionados a cumplimiento, incluyendo cómo prevenir, detectar y reportar incidentes de cumplimiento y casos potenciales de fraude, abuso y despilfarro. Los adiestramientos y materiales educativos debenser adaptados a las funciones y responsabilidades de cada empleado.

4. Líneas Efectivas de ComunicaciónLas líneas efectivas de comunicación deben estar accesibles y garantizarla confidencialidad para todo incidente reportado. Debe ofrecer líneasde anonimato y enfatizar la política de no-represalias para reportesefectuados bajo “Buena-Fe”. Las líneas deben estar disponibles para los empleados.

5. Estándares DisciplinariosCada entidad debe mantener estándares y/o políticas de guíasdisciplinarias para violaciones al programa de cumplimiento, incluyendo casos potenciales de fraude, abuso y despilfarro.Es importante señalar que las entidades deben asegurar que losestándares se ejecuten fielmente según están detallados en supolítica.

6. Sistema Efectivo de Monitoreo y Auditoría y la Identificacion de RiesgosCada organización debe realizar monitoreos rutinarios de susprocesos y auditorías a sus entidades delegadas, donde miden losservicios y funcionalidades relacionadas con el programa de cumplimiento.

7. Proceso y Sistema para Manejo Rápido de Atender Incidentes de CumplimientoCada organización debe medir su efectividad de respuesta rápida a reportes recibidos de incumplimiento. Una vez el área de Cumplimiento comience la investigación sobre lo reportado, se debe realizar un plan de acción correctivo para mitigar el incidente.

La regulación federal requiere siete (7) elementos de un programa de cumplimiento parademostrar su efectividad:

7

Su Rol en CumplimientoAdiestramiento de CumplimientoLos adiestramientos son requisitos mandatorios. Deben proveer líneas efectivas decomunicación, como un “Hotline” o correo electrónico confidencial para reportar incidentes deincumplimiento y/o casos potenciales de fraude, abuso y despilfarro.

Ética – ¡Haz lo correcto!• Cumple con todas las leyes, regulaciones y otros requisitos aplicables• Reporta violaciones al programa de cumplimiento y casos potenciales de fraude

Lo que se espera…El Código de Conducta es la guía que establece las expectativas de cumplimiento y es eldocumento que detalla los principios y los valores corporativos en los que una organizacionopera.

8

Código de ConductaEl Código de ConductaMC-Rx requiere que todas las farmacias contratadas estén en cumplimiento con nuestro Código de Conducta.

Usted puede obtener una copia de nuestro Código de Conducta a través de nuestro portal.

Nuestro CompromisoEs nuestro compromiso organizacional requerir que todas nuestras farmacias lleven su comportamiento yconducta de forma ética y legal.

• Actuar con honestidad• Adherirse a los estándares más altos de ética para toda transacción de negocio

Conflicto de InterésEs su responsabilidad asegurar que todo empleado, representante, contratista, entidad relacionada odelegado, incluyendo agentes representantes de su compañía, que provean servicios a beneficiarios, firmenun acuerdo de NO Conflicto de Interés en el momento de su contratación y luego anualmente.

El propósito de mantener este acuerdo es confirmar que cada representante está libre de conflicto personal yde negocio para la administración o servicios provistos a los beneficiarios.

Es responsabilidad de todos reportar violaciones al Código de Conducta y sospechas de incumplimiento.

9

No Cumplir

Conoce las consecuencias del No-Cumplir

Algunas consecuencias del No-Cumplir aplicable a la empresa son:• Terminación de contrato• Penalidades criminales• Exclusión de participar en programas de salud federal• Sanciones

Además, las consecuencias pueden ser aplicables para el empleado, estas son:

• Adiestramiento mandatorio o readiestramiento

• Acciones disciplinarias

• Amonestaciones o terminación de empleo

10

Como reportar el No-CumplirEl No-Cumplir nos afecta a TODOS

Sin un programa de cumplimiento que apoya en prevenir, detectar y corregir el incumplimiento, estamos todos en riesgo de causarinconvenientes en servicios ofrecidos a los beneficiarios, incluyendoretraso de servicios, negación de beneficios, dificultad en ofrecer losservicios adecuados, entre otros.

El Programa de Cumplimiento promueve que no se entre en

pérdidas monetarias para todos, causadas potencialmente por alzas

en copagos, bajas en beneficios para individuos y empleadores,

entre otros.

Cómo reportar incidentes del No-Cumplir

Empleados regulares o Empleados de Entidades (“FDR”):

• HOTLINE: (787) 286-6032 ext. 3800• Correo electrónico confidencial: cumplimiento@mc-rx.com• Oficial de Cumplimiento: (787) 286-6032 ext. 3123• Línea Directa: (787) 773-1328• Informar a su supervisor• Llamar a su centro de llamadas de cumplimiento

Beneficiarios:

• HOTLINE: 1-800-Medicare

No dude en reportar situaciones de incumplimientoNo se tomarán represalias en su contra por reportar sospechas de situaciones de incumplimiento, de buena fe. Cadaorganización debe ofrecer métodos de reportar:

• Con anonimato• Confidencial• Sin represalias

11

Investigación y Acciones Correctivas¿Qué ocurre luego que haya reportado su sospecha de incumplimiento?Una vez se haya detectado una situación de incumplimiento, la Oficina de Cumplimiento comienza su investigación de inmediato,para luego corregir y mitigar la situación y evitar recurrencias. Como parte de las acciones correctivas, existe el proceso demonitoreo frecuente que asegura:

• El cumplimiento con regulaciones federales y estatales• El manejo eficiente y efectivo de controles internos• Proteger a los beneficiarios

¿Qué son monitoreos frecuentes y auditorías internas?

• Los monitoreos son actividades continuas que revisan y confirman el cumplimiento continuo y, a su vez, aseguran que lasacciones correctivas se están llevando de manera efectiva.

• La auditoría interna, como parte de los siete (7) elementos del Programa de Cumplimiento, es una revisión formal delcumplimiento con unos estándares particulares utilizados como criterios de medición, como por ejemplo: políticas yprocedimientos, leyes y regulaciones.

Toda entidad debe crear y mantener un programa de cumplimiento, que como mínimo, cumpla con los siete (7) elementosdesignados por la regulacion federal. Un Programa de Cumplimiento efectivo promueve una cultura de cumplimiento a través dela organización. Como apoyo al cumplimiento, la conducta ética definida en el Código de Conducta es esencial para asegurar laresponsabilidad organizacional de todo empleado. Es su responsabilidad velar por situaciones de incumplimiento y reportarviolaciones al Programa de Cumplimiento.

Conozca las consecuencias del No-Cumplir y asegúrese de que corrije las violaciones de incumplimiento estableciendo un plande acción correctivo que incluya el monitoreo continuo y las auditorías internas de los procesos regulatorios.

12

Competencia Cultural• Definición: La competencia cultural para las organizaciones de salud es tener la capacidad para reconocer lascreencias culturales, los valores, las actitudes, las tradiciones, las preferencias de idioma y las prácticas de salud dediversas poblaciones, y aplicar ese conocimiento obteniendo un resultado positivo.

• Variables culturales: Etnicidad, raza, género, religión / espiritualidad, historia de la cultura, orientación sexual,idioma / dialecto.

• Sensibilidad cultural: Lograr que las personas de diferentes culturas, género, edad, etc. se sientan cómodas.Construir simpatía y confianza. Explique por qué hace preguntas personales o delicadas - puede requerir unaexpresión de simpatía por hacerlo. Permita que el paciente haga preguntas a intervalos frecuentes.

• Mandatos y reglamentos federales: El Título VI de la Ley de Derechos Civiles de 1964 considera que ladenegación o el retraso de la atención médica debido a las barreras del idioma es discriminación.

• Sección 1557 - Ley de Protección al Paciente y Cuidado de Salud Asequible: La Sección 1557 es la disposiciónno discriminatoria de la Ley de Cuidado de Salud a Bajo Precio (ACA). La ley prohíbe la discriminación por motivosde raza, color, nacionalidad, sexo, edad o discapacidad en ciertos programas o actividades de salud.

• “Health Literacy”: Es el grado en que las personas tienen la capacidad de obtener, procesar y comprender lainformación y los servicios de salud básicos necesarios para tomar las decisiones de salud adecuadas.

• Competencia cultural y lingüística: La competencia permite que la comunicación sea lingüística y culturalmenteapropiada. Para muchas personas con dominio limitado del inglés (LEP), la incapacidad de comunicarse en inglés esla barrera principal para acceder información sobre sus servicios de salud. La información de salud para laspersonas con LEP debe ser comunicada claramente en su idioma principal, utilizando palabras y ejemplos quehagan que la información sea comprensible.

13

Adiestramiento Fraude, Abuso y Despilfarro

Objetivos

Esta sección le ayudará a:

• Reconocer el alcance del fraude y el abuso

• Entender cómo puede luchar contra el fraude y el abuso

• Explicar cómo se puede combatir el fraude

• Identificar otras fuentes de información

• Identificar cómo puede reportar el fraude

• Reconocer cómo se puede corregir el fraude

• Reconocer las leyes aplicables al fraude

Objetivos

15

Fraude se define cuando un individuo o entidad falsificainformación con intención y conocimiento de librementeejecutar esquemas para defraudar a algún programa de salud federal.

En resumen, fraude es tener la intención de someterinformación falsa al gobierno con la expectativa de recibirganancia, sea monetaria o de negocios.

El fraude cometido a los programas de salud puede llegara recibir hasta una penalidad máxima de diez (10) años de cárcel.

También está sujeto a multas o sanciones criminales hasta $250,000.

Despilfarro o Pérdida se define como la sobreutilización de servicios prestados, que tengan relacióndirecta o indirecta, y que resulte en gastos innecesarioso en exceso.

Abuso se define cuando ocurre el acto, que impactadirecta o indirectamente, y resulte en gastosinnecesarios.

El abuso involucra el recibir pagos por servicioscuando no hay derecho legal de haber recibido el pago, y, en adición, el proveedor, a sabiendas o con intención, ha tergiversado los hechos para obtenerdicho pago.

Definición de Fraude, Abuso y Despilfarro

16

Ejemplos y Diferencias del Fraude

El fraude, la pérdida y el abuso afectan a cada persona al consumir los recursos críticos denuestro sistema de atención médica y contribuyen al incremento en los costos de la atenciónmédica para todos.

Los dólares pagados por los contribuyentes que se pierden por fraude, pérdida y abusoperjudican a muchas personas, particularmente a algunos de nuestros ciudadanos másvulnerables.

El fraude ocurre cuando alguien falsifica información intencionalmente o engaña.

El abuso ocurre cuando los proveedores de atención médica no siguen buenas prácticasmédicas, lo que resulta en costos innecesarios, pagos incorrectos o servicios que no sonmédicamente necesarios.

Las prácticas inapropiadas que empiezan como abuso, muy rápidamente pueden evolucionarhacia el fraude.

NOTA: La diferencia entre fraude y abuso es la intención.

17

Ejemplos y Diferencias del Fraude

Ejemplos de fraude:• Cuando se facturan servicios que nunca se

recibieron• Documentos que fueron alterados para obtener un

pago mayor• Incluir información falsa sobre las fechas, o la

identidad del beneficiario

Ejemplos de despilfarro o pérdida:• Prescribiendo recetas en exceso• Prescribiendo medicamentos que no son necesarios

según el diagnóstico del beneficiario

Ejemplos de abuso:• Facturando servicios médicos innecesarios

• Facturando medicamentos de marca cuando se despachan genéricos

Diferencias entre el fraude, el abuso y el despilfarro

La diferencia principal entre fraude, abuso y despilfarro es la intención o el conocimiento. Fraude requieretener la intención en obtener lucro no merecido en su beneficio o el de un tercero, a sabiendas que estácometiendo un acto ilegal. El abuso ocurre cuando se obtienen pagos en exceso, costos innecesarios ocuando se factura servicios medicamente innecesarios. El despilfarro es cuando se hay sobreutilización delos servicios. No necesariamente, el cometer abuso o despilfarro requiere tener la misma intención oconocimiento.

18

Civil False Claims Act (FCA) Las provisiones civiles del FCAaplican a todos los programas federales Medicare y Medicaid.

El fraude bajo la FCA presenta o promueve la reclamaciónfraudulenta, a sabiendas, a un oficial o empleado del gobierno local o de los Estados Unidos para pago o aprobación.

Es fraude bajo el FCA hacer, usar instigar el uso o sometimiento de récord, y declaraciones falsas para que sean pagadas o aprobadas por el gobierno.

Es fraude bajo el FCA conspirar para defraudar al gobiernoal permitir que una reclamación falsa o fraudulenta sea pagada o aprobada para pago.

Es fraude bajo el FCA tener posesión, custodia, o control de dinero gubernamental, intentar defraudar al gobiernoocultando la reclamación para entregar al reclamante unacantidad menor a la que le corresponde de acuerdo a losrecibos o certificados.

Es fraude bajo el FCA que una persona haga unacertificación de propiedad o dinero gubernamental sin conocimiento completo de que la información es correcta.

Es fraude bajo el FCA comprar o recibir, a sabiendas, comogarantía de una obligación o deuda, propiedad pública de un oficial o empleado gubernamental, o vender u ofreceren garantía la propiedad; o a sabiendas, hacer, usar o provocar que se haga o se use, un récord o declaraciónfalsa para esconder, evitar o disminuir la obligación de pago o la transmisión de pago o propiedad al gobierno.

Es fraude ofrecer o aceptar sobornos para ejecutar las funciones inherentes al puesto y favorecer a terceros, entre otros.

La Ley Federal (Civil False Claims Act)

Whistleblowers: Un “whistleblower” es unapersona quien expone información o actividades que son ilegales, deshonestas o violan el estándar profesional o clínico.

Protección: Las personas quienesreportan reclamaciones fraudulentasson protegidas de cualquier acción de represalia.

Ganancia: Las personas quienes reportan el acto ilegal pueden recibir ganancias hasta un 15%, pero no más de un 30% del dinerorecobrado, siempre y cuando el caso sea exitoso.

Daños y Penalidades: Cualquier persona que cometa fraude, según se especifica enel código, incurre en delito grave, y si se le encuentra culpable en el Tribunal serásancionada por cada violación con pena de multa no menor de cinco mil quinientos($5,500) dólares, ni mayor de once mil ($11,000) dólares o pena de cárcel por un término fijo de tres (3) años, o ambaspenas.

19

Health Care Fraud Statute

El “Health Care Fraud Statute“ prohíbe que, a sabiendas se presente, conspire o incite a presentar una reclamación falsa parapago o aprobación al Gobierno Federal; prohíbe que, a sabiendas, se cree o use, o se incite a crear o usar, un récord odeclaración falsa/fraudulenta para que una reclamación sea pagada o aprobada por el Gobierno Federal o sus agentes.

Penalidades: multa no menor de $5,000 ni mayor de $10,000, más tres (3) veces la cantidad del daño que el gobierno hayasufrido como consecuencia del acto

Leyes Federales

Anti-Kickback Statute

El “Anti-Kickback Statute“ contiene sanciones criminales para los individuos o entidades que a sabiendas ofrecen, reciben, pagano solicitan remuneración para inducir o atraer mayor negocio pagadero por Medicare o cualquier otro programa de saludfederal. Igual presenta reclamaciones bajo la representacióon de ser profesionales da la salud, pero no estan licenciados yquienes presentan falsas, declaraciones o representaciones respect a la condicion u operacion de una institucion de salud.

Penalidades: $25,000; cárcel por no más de 5 años o ambas

Stark Statute (Physician Self-Referral Law)

El “Stark Statute“ prohíbe a los proveedores hacer referidos para ciertos servicios de salud a otra entidad, cuando esa entidadtiene un miembro familiar del proveedor quien mantiene:

• Un interés propietario

• Un arreglo compensatorio

Penalidades: $15,000 por cada servicio prestado, hasta $100,000 si entra en arreglos compensatorios ilegales

20

La Ley de Penalidades Monetarias Civiles

La OIG puede imponer penalidades civiles por las siguientes razones:

• Acuerdos de servicios prestados por un individuo o entidad que haya sido excluído de un programade salud federal

• No proveer copias de los documentos solicitados como parte de la investigacion a la OIG

• Someter reclamaciones falsas

• Pagos realizados para obtener ganancias por referidos

Penalidades

Desde $10,000 hasta $50,000 dependiendo de cada violación. Los culpables pueden estar sujetoshasta tres (3) veces la cantidad impuesta por:

• Cada servicio reclamado• Cada remuneración obtenida, ofrecida, solicitada o recibida

Penalidades Monetarias Civiles

Ley Disponible por

42 U.S.C. 1320a-7a http://www.gpo.gov/fdsys/pkg/USCODE-2013- title42/pdf/USCODE-2013-title42-chap7-subchapXI-partA- sec1320a-7a.pdf

21

Verificación de Exclusión

No se puede pagar por cualquier artículo o servicio proporcionado, ordenado o prescrito por una persona o entidad excluida por laOficina de Inspector General (“OIG”). La OIG tiene autoridad para excluir a individuos y entidades de los programas de saludfinanciados con fondos federales. El OIG mantiene una Lista de Personas y Entidades Excluidas (LEIE). Puede acceder al LEIE:https://exclusions.oig.hhs.gov .

La Administración de Servicios Generales de los Estados Unidos (GSA, por sus siglas en inglés) administra el Sistema de Lista de PartesExcluidas (EPLS), que contiene acciones de exclusión adoptadas por varias agencias federales, incluyendo la OIG. Puede acceder alEPLS: https://www.sam.gov .

Si busca individuos o entidades excluidas, asegúrese de verificar tanto el LEIE como el EPLS, ya que las listas no son las mismas.

Responsabilidad de la Farmacia

Cada farmacia debe tener políticas y procedimientos para verificar las listas de exclusión publicadas por la Oficina del InspectorGeneral (OIG) y los Servicios de Administración General (GSA) antes de contratar nuevos empleados, representantes y/ocontratistas para asegurar que ningún empleado, representante o contratista ha sido excluido de los programas de salud federal.

Además, y una vez al mes, estas listas de exclusión deben ser verificadas para asegurar que ningún empleado, representante,personal o contratista que tenga directa o indirecta responsabilidad de administrar o entregar los beneficios (prescripciones). Enadición, si cualquier empleado o contratista es identificado a través de las listas de exclusión, dicho empleado o contratista debe serinmediatamente removido de realizar cualquier tarea directa o indirectamente relacionada con el programa de salud federal (porejemplo, administración de medicamentos prescritos, incluyendo envíos y entregas).

Exclusiones de Programas de Salud Federal (OIG)

Ley Disponible por

42 U.S.C. 1320a-7 http://www.gpo.gov/fdsys/pkg/USCODE-2013- title42/pdf/USCODE-2013-title42-chap7-subchapXI-partA- sec1320a-7.pdf

22

Fraude Criminal

La mayoría de las personas y organizaciones que trabajan son honestas. Pero hay algunos que actúan mal.

Continuamente tenemos que seguir los pasos necesarios para identificar y enjuiciar a quienes actúan mal. Cualquiera de los siguientespuede estar involucrado en fraude o abuso contra agencias federales: médicos, proveedores y otras entidades quienes ofrecenservicios de salud, como por ejemplo: entidades de equipo médico duradero (EMD), empleados de compañías que manejan lafacturación.

El fraude es frecuente. Es importante que esté atento a las varias entidades que han estado implicadas en esquemas de fraude.Aquellos que cometen fraude, también pueden ser individuos que están aparentando estar en cualquiera de esos grupos.

Las penalidades pueden ser:

• Multas hasta $250,000

• Cárcel hasta 20 años

• Ambos

De algunas de las violaciones tener resultados mortales, la penalidad imputada será la máxima sentencia de cárcel o cárcel de por vida.

Fraude Criminal

Ley Disponible por

18 U.S.C. Sección 1347 http://www.gpo.gov/fdsys/pkg/USCODE-2013- title18/pdf/USCODE-2013-title18-partI-chap63-sec1347.pdf

23

¿Cuáles son sus responsabilidades?

Usted tiene la responsabilidad de apoyar en la prevención, detección y notificación de casospotenciales de FWA, así como incidentes de incumplimiento.

• PRIMERO, debe cumplir con todos los requisitos legales y reglamentarios, incluyendoimplementar un programa de cumplimiento.

• SEGUNDO, usted tiene el deber de informarnos sobre cualquier situación de incumplimiento yviolaciones sospechosas o reales al programa de cumplimiento.

• TERCERA, usted tiene el deber de seguir el Código de Conducta de su organización que detalla elcompromiso organizacional de manejar todos sus negocios de manera ética.

Su Responsabilidad

24

Como Reportar el FraudeReportar Fraude, Abuso y Despilfarro

Cada día laboral Medicare procesa más de 4.6 millones de reclamaciones, de las cuales 200,000 son de equipo médico duradero (EMD),de un total de 1.5 millones de proveedores de pago‐por‐servicio. Cada mes, Medicare recibe casi 39,000 solicitudes de suscripcióninicial para las Partes A y B. Cada año Medicare paga más de $566 mil millones para más de 50 millones de beneficiarios.

Cada año Medicaid procesa 3.9 mil millones de reclamaciones que representan más de $430 mil millones anualmente, para más de 57millones de beneficiarios. Más de 9 millones de beneficiarios de Medicaid califican para cobertura tanto de Medicare como deMedicaid. Hay 56 programas administrados por estados y territorios. Medicaid está creciendo.

Es su responsabilidad reportar cualquier situación potencial de fraude, segú detallado en su Código de Conducta. Puede reportar estassituaciones a su oficina de cumplimiento para que comiencen una investigación preliminar y se llegue a una determinación apropiada.

Cómo Reportar Casos Potenciales de Fraude:• HOTLINE: (787) 286-6032 ext. 3800• Correo eléctronico confidencial: cumplimiento@mc-rx.com• Línea Directa: (787) 773-1328

Detalles a incluir cuando esté reportando un caso:• Su información• Detalles del incidente: Fecha, hora, impacto

AGENCIAS PARA REPORTAR EL FRAUDE• Centers for Medicare & Medicaid Services

Teléfono: 1-800‐633‐4227 TTY: 1- 877‐486‐2048Correo: Medicare Beneficiary Contact Center PO Box 39 Lawrence, KS 66044

• HHS Office of Inspector GeneralTeléfono: 1-800‐447‐8477 TTY: 1-800‐377‐4950Correo: HHS Tips Hotline PO Box 23489 Washington, DC 20026‐3489

25

Corrección

• Una vez que se haya detectado el fraude, debe ser corregido rápidamente. Es importante desarrollar unplan para corrección.

• Consulte a su departamento de cumplimiento para conocer el proceso de desarrollar un plan de accióncorrectiva.

• Diseñar la acción correctiva para corregir el problema previene futuros incumplimientos. Documentar lasacciones correctivas es de suma importancia para mantener la información completa que apoyará enobtener el resultado esperado, y una vez iniciado, monitoree continuamente las acciones para asegurar quesean efectivas.

Ejemplos

• Adoptar nuevos editos de pago

• Ofrecer adiestramientos mandatorios

• Proveer material educativo

• Revisar las políticas y procedimientos

• Tomar acciones disciplinarias

• Terminar empleos o contratos de proveedores

Planes de Acción Correctiva

26

Indicadores de incidentes potenciales de incumplimiento del beneficiario

• ¿La historia clínica del beneficiario apoya los servicios solicitados?

• ¿Ha llevado numerosas recetas idénticas este beneficiario, posiblemente de diferentes médicos?

• ¿Es adecuada la receta según el historial de prescripciones del beneficiario?

Indicadores de incidentes potenciales realizados por el proveedor

• ¿Las recetas son apropiadas para el estado de salud del beneficiario? ¿Son médicamente necesarias?

• ¿El proveedor está realizando servicios médicamente innecesarios para el beneficiario?

• ¿Está el proveedor recetando una cantidad mayor a la que realmente necesita el beneficiario de acuerdo a su condición?

Indicadores de incidentes potenciales realizados por farmacias

• ¿Han expirado los medicamentos despachados?

• ¿Se proporcionan medicamentos genéricos cuando la receta requiere que los medicamentos que se despachen sean de marca?

• ¿Se les está facturando al PBM por recetas que no se han recogido?

Indicadores de Fraude

27

Prevención del Fraude

• Busque actividades sospechosas

• Conduzca su negocio de una manera ética

• Asegúrese de que la facturación sea precisa

• Asegúrese de coordinar con otros pagadores

• Manténgase al día con las políticas y procedimientos regulatorios

• Verifique toda la información que se le ofrece

Políticas y Procedimientos

Usted debe revisar sus políticas y procedimientos regulatorios continuamente para ayudar a detectar, prevenir,informar y corregir situaciones potenciales de FWA.

El Código de Conducta describe las expectativas de cada entidad:

• Todos los empleados se deben comportar de manera ética

• Existen mecanismos apropiados para que cualquiera pueda reportar incumplimiento

• Los problemas reportados deben ser atendidos y corregidos

Su Rol en Combatir el Fraude

28

Guía de Recursos (FWA)

29

Adiestramiento Privacidad (HIPAA)

Objetivos

Esta sección le ayudará a:

• Conocer la Ley HIPAA y su Regla de Privacidad• Saber el uso adecuado y que no puede divulgar de información confidencial• Identificadores protegidos de salud (PHI)• Regla del Mínimo Necesario• Sus responsabilidades para proteger la información confidencial• Reportar incidentes de privacidad• Penalidades del incumplimiento con la Ley HIPAA

Objetivos

31

La ley federal HIPAA define lo que es el fraude en en el cuido de la salud como cualquiera que, a sabiendas y con intención, cometa un esquema oartificio para defraudar a cualquier plan o programa de salud público o privado; y el obtener por medio de representaciones falsas dinero opropiedad perteneciente o bajo la custodia o control de un plan o programa de salud pública o privado.

HIPAA define lo que es malversación o hurto contra un plan o programa de salud público o privado como cualquiera que, a sabiendas y conintención, hurta o sin autoridad usa el dinero, fondos, inversiones, primas, créditos, propiedad u otro activo del plan.

HIPAA define como falsas declaraciones cualquiera que, a sabiendas y con intención, falsifica, oculta o encubre cualquier truco, esquema o hechomaterial; o hace declaraciones o representaciones materialmente falsas, ficticias o fraudluentas, o hace o usa cualquier escrito o documento falsoconociendo su falsedad.

Penalidades

• Prestación de servicio inadecuado: 10 años de cárcel, multas o ambos

• Serio daño corporal: 20 años de cárcel, multas o ambos

• Si resulta en muerte: cárcel de por vida, multas o ambas penas

• Si el valor de lo hurtado no excede de $100, cárcel por hasta un año, multa o ambas

• Falsas declaraciones: hasta 5 años de cárcel, multa o ambas penas

HIPAA

¿Qué tipo de información es protegida por la Ley HIPAA?

La Regla de Privacidad protege la información de salud que identifica a un individuo, incluyendo información escrita y documentada o transmitida

electrónicamente, por cuaqluier medio y formato. Esta información es conocida como “PHI.”

PHI es información que incluye datos demográficos relacionados con:

• La condición de salud o condición mental presente, pasada o futura de un individuo

• El servicio, diagnóstico, tratamiento de cuidado de salud de un individuo

• El pago presente, pasado y futuro de servicios clínicos ofrecidos a un individuo

32

Entidad Cubierta

HIPAA exige que toda entidad cubierta y socios de negocios cumplan con sus regulaciones. Cadaindividuo, entidad y agencia debe cumplir con los requisitos para proteger la privacidad y la seguridadde la información protegida y confidencial de salud, manteniendo procesos administrativos, técnicosy físicos apropiados para salvaguardar dicha información, sea en papel o de manera electrónica.MC-Rx es considerada como una entidad cubierta bajo HIPAA.

Socios de Negocios

Si una entidad cubierta mantiene un contrato con un socio de negocio donde delega parte de susfunciones como compañía, dicha entidad tiene que asegurar tener ese contrato con lasespecificaciones de cómo se estarán manejando las funciones delegadas y cómo se estarácumpliendo con las regulaciones de proteger cualquier información confidencial compartida.

Rol de MC-Rx

33

La Regla de Privacidad define y castiga la obstrucción a investigaciones criminales relacionadas con fraude, a cualquiera queintente o evite, confunda, obstruya, o demore la denuncia de cualquier violación solicitada como parte de una investigacióncriminal.

La Regla de Privacidad establece estándares nacionales para proteger la información confidencial, sea clínica o personal, yguardada de forma electrónica o en papel. El propósito de la Regla de Privacidad es asegurar que toda información de saludsea protegida adecuadamente mientras se permita el flujo de la data necesaria para continuar ofreciendo servicios clínicosde alta calidad, así permitiendo un balance para el uso apropiado de la información.

Divulgar información protegida (PHI) para otros propósitos que no sea brindar servicios relacionados de alta calidad, estáterminantemente prohibido. La Regla de Privacidad indica cómo debe usar la información protegida; también le definecuándo y cómo puede divulgar la información. La Regla de Privacidad protege la información “PHI” de cualquier forma yenviada por cualquier medio, como por ejemplo: correo electrónico, fax, voz o papel.

Su Rol bajo la Regla de Privacidad (HIPAA)HIPAA provee protección federal para toda entidad que mantenga información protegida de salud, como las entidadescubiertas y los socios de negocio. La Regla de Notificaciones de Incidentes de Seguridad ofrece como guía el manejo denotificaciones luego que haya advenido en conocimiento que ocurrió una apropiación o divulgación no autorizada deinformación protegida.

Regla de Privacidad

34

Ejemplos de Identificadores (PHI)

Información Demográfica-Personal: nombre, fecha de nacimiento, seguro social, dirección

Información de Salud-Clínica: diagnóstico, medicamentos que se relacionan con el diagnóstico del beneficiario, número de contratodel plan médico

Informacion Financiera: número de cuentabancaria, estados de cuenta

Identificadores de Información Protegida de Salud (PHI)La Regla de Privacidad protege información, sea oral, escrita o electrónica, en cualquier forma creada o recibidapor una Entidad Cubierta o un patrono relacionada con la salud física o mental, pasada, presente o futura, queidentifica o puede identificar a la persona. Incluye información de salud (recetas), financiera (facturas) ydemográfica (dirección).

35

Mínimo Necesario

HIPAA establece estándares mínimos, uniformes para todos sobre cómomanejar la información de salud de pacientes para proteger la privacidad,confidencialidad y seguridad de la información de salud.

PHI puede ser usada o divulgada sin autorización solo para tratamiento, pagoy operaciones para el cuidado de la salud. Cualquier otro uso o divulgaciónrequiere la autorización del paciente.

Privacidad es considerado un derecho para que la información de salud no sea divulgada. La Confidencialidad esuna condición que asegura que solo personas de un determinado dominio, rango o nivel y con conocimiento de lapersona, con una razón válida, puedan tener el acceso a la información. La Seguridad es una protección quemantiene la capacidad de controlar el acceso a la información, así previniendo la alteración, destrucción o pérdidade información.

HIPAA protege en mayor grado la información de salud del paciente bajo los siguientes mandatos locales:• La Carta de Derechos y Responsabilidades del Paciente (Ley 194 de 2000)• Ley de Salud Mental de Puerto Rico (Ley 408 de 2000)• Ley de Pacientes VIH Positivo

…expediente clínicodel beneficiario… …el mínimo

necesario…

36

Confidencialidad

Conserve segura la información personal como números de Seguro Social y tarjetas de crédito. Comparta esta información solo conpersonas en quien confíe como sus doctores, su aseguradora, el Seguro Social, y Programas Medicaid y Medicare.

La confidencialidad es la máxima preocupación de los profesionales donde se mantiene la discreción como una contribución a lacalidad de vida y además, se mantiene el respeto por la privacidad como un acuerdo fundamental.

Es su responsabilidad educar a sus empleados, miembros de comité, y demás representantes de que deben mantener laconfidencialidad de toda información protegida, sea personal, clínica o financiera de todo individuo o entidad.

Todo empleado que se relacione con informacion “PHI” debe tomar medidas extremas, pero apropiadas, en asegurar y proteger esainformacion de accesos no autorizados o divulgaciones impropias.

Ejemplos de Declaración de Confidencialidad para envíos por correo electrónico o fax:

ATENCIÓN: “Este mensaje se dirige exclusivamente a su destinatario. Contiene información CONFIDENCIAL, cuya divulgaciónestá prohibida por la ley. Si ha recibido este escrito o mensaje por error, debe saber que su lectura, copia y uso están prohibidos. Lerogamos que nos lo comunique inmediatamente por esta misma vía o por teléfono y proceda a su destrucción. Gracias.”

ATENCIÓN: "Esta información está destinada únicamente al uso de la persona o entidad a la que se dirige y contieneinformación confidencial. Además, esta información es protegida por la Ley Federal (42 CFR-Parte 2) que prohíbe cualquier divulgaciónadicional. Si el lector de este mensaje no es el destinatario o agente responsable de recibir este mensaje, quede debidamentenotificado que cualquier revisión, distribución o copia de esta comunicación está estrictamente prohibida. Si usted recibió estacomunicación por error, por favor notifíquenos inmediatamente y devuélvanos el mensaje original a la siguiente dirección...”

Confidencialidad

37

¿Qué debo hacer en mi trabajo para proteger información “PHI”?

• Siempre guarde sus documentos que contienen información protegida bajo llave.• Manténgase orientado, accediendo y leyendo las políticas y procedimientos regulatorios.• Pregunte a su contacto de cumplimiento o supervisor si necesita informacion adicional.• No deje documentos con información personal encima de su escritorio.• No discuta casos personales en áreas comunes.• Siempre use contraseñas para evitar que un tercero pueda acceder a la informacion.• Siempre debe seleccionar “lock” en su computadora o laptop cuando no esté presente.• Proteja las máquinas de fax, siempre y cuando se pueda recibir información protegida en las mismas.

“Designated Record Set” (DRS) es información clínica o financiera del paciente, que lo identifique o pudiera identificarlo y que se utilice para tomar decisiones sobre el paciente; dondequiera que ésta se encuentre.

• Proveedores - expediente clínico y de facturación • Planes – suscripción, pago de primas, reclamaciones, pago de reclamaciones, manejo de caso o

enfermedad• Entidades Cubiertas - derechos de acceso y enmiendas de PHI del paciente

Proteger Información Personal (PHI)

38

Reportar Incidentes de Privacidad¿Qué debo hacer si ocurre un incidente de seguridad (“Breach”)?Un incidente de seguridad se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos.

Reportar los incidentes permite responder a los mismos en forma sistemática, minimizar su ocurrencia, facilitar una recuperación rápida y eficiente de las actividades minimizando la pérdida de información y la interrupción de los servicios.

Una vez advenga en conocimento, debe notificar a la Secretaría de HHS si ha ocurrido una divulgación impropia de más de 500 beneficiarios.

Si el beneficiario considera que al utilizar o divulgar información no se respetó la ley de confidencialidad, puede presentar una queja ante su proveedor o aseguradora de salud.

Todas las querellas deberán:

(1) someterse por escrito (2) incluir el nombre de la entidad contra la cual se presenta la

querella (3) describir los actos u omisiones relacionados (4) someterse no más tarde de sesenta (60) días después del

momento en que se percató de la situación

Está prohibido tomar represalias en contra de un beneficiario por haber presentado una querella de este tipo.

Como reportar incidentes de Privacidad a MC-Rx:

• HOTLINE: (787) 286-6032 ext. 3800

• Correo electrónico confidencial: cumplimiento@mc-rx.com

• Línea Directa: (787) 773-1328

39

La Regla de Seguridad (HITECH)HIPAA establece unos estándares mínimos de seguridad para proteger que toda información electrónica que contenga data“PHI”, sea guardada por una entidad cubierta o por un socio de negocio, quienes tienen la autorización de crear, recibir,mantener o transmitir dicha información. Estos estándares mínimos se localizan en la Regla de Seguridad (HITECH) de la LeyHIPAA, y tiene varios tipos de requisitos para salvaguardar el “ePHI”:

1. Administrativo – Estos requisitos conllevan acciones administrativas, para prevenir, detectar, contener y corregirviolaciones de seguridad. Comprenden la selección, el desarrollo, la aplicación y el mantenimiento de medidas deseguridad para proteger la “ePHI” y para asegurar la protección de esa información ofreciendo guías con relación alcampo laboral.

2. Físico – Estos requisitos conllevan establecer medidas físicas, para proteger los sistemas electrónicos de informaciónque son mantenidos en edificios y son transmitidos por equipos quienes corren riesgo de obstrucciones naturales yambientales, que a su vez puede permitir una intrusión no autorizada. Estos implementan el uso apropiado y el accesodel ePHI.

3. Organizacional – Estos requisitos requieren que toda Entidad Cubierta tenga contrato con sus Socios de Negocioquienes tendrán acceso al ePHI.

4. PolÍticas y Procedimientos– Este estándar requiere que toda Entidad Cubierta adopte políticas y procedimientosrazonables y apropiados para cumplir con las disposiciones de la Regla de Seguridad. Mantener los documentos y losregistros relacionados de toda acción, actividad o evaluación hasta diez (10) años después de la fecha de su creación ode la última fecha de vigencia tiene que estar definido y establecido. Las políticas y procedimientos deben revisarse yactualizarse anualmente o periódicamente según ocurra cualquier cambio en ley o regulación.

Regla de Seguridad

40

Repaso

Respuestas: 1. B; 2. C; 3. B; 4. A

1) ¿Cuál es el propósito de la Regla de Privacidad (HIPAA)?a) Proteger al proveedorb) Proteger la información personal y confidencial de un individuo y definir el uso apropiado de esa informaciónc) Asegurar que se mantenga todo documento bajo llave

2) Un individuo, quien es conocido como un cliente “regular”, entra a su farmacia para dejar una receta. La receta prescrita incluyemedicamentos controlados con una cantidad de 160. Este cliente usualmente recibe este medicamento controlado con unacantidad de 60, no de 160. Al revisar la receta prescrita se percata de la discrepancia. ¿Cuáles deben ser los próximos pasos aseguir?a) Despacha el medicamento por la cantidad de 160b) Despacha el medicamento por la cantidad de 60c) Corrobora la cantidad, llamando al médico para asegurarse de que no haya sido un error

3) Su trabajo consiste en someter diagnósticos de riesgo con el propósito de recibir pagos. Como parte de su trabajo diario, ustedverifica que la data a ser enviada sea precisa y correcta. Su supervisor le indica que ignore la verificación de data y proceda consometer la información para ciertos beneficiarios solamente. ¿Qué debe hacer?a) Someter la data sin validar según las indicaciones de su supervisorb) Reportar el incidente a su contacto de cumplimiento, sea por el “hotline” o por otro mecanismo ofrecidoc) Discutir su inquietud con su supervisor

4) ¿Cuáles de los siguientes términos significa tener la intención y el conocimiento de obtener pagos, a sabiendas de que estácometiendo un incumplimiento de ley?a) Fraudeb) Abusoc) Despilfarro

42

Examen

1. El Cumplimiento es responsabilidad del Oficial de Cumplimiento.

a. Ciertob. Falso

2. ¿Cuáles son ejemplos de cómo se pueden reportar situaciones de incumplimiento?

a. Teléfono confidencial “Hotline”b. Reportar en la página webc. Reportar al supervisord. Todas las anteriores

3. Un potencial caso de fraude y conducta considerada sin ética de un empleado o consultor es un ejemplo de situación que debe reportara su contacto de Cumplimiento.

a. Ciertob. Falso

4. Los sobornos ofrecidos de cualquier servicio que son pagados con fondos federales constituyen el delito de fraude, tanto de la persona que lo hace, como de la persona quien recibe el pago.

a. Ciertob. Falso

5. El despilfarro incluye cualquier uso indebido de recursos como el usoexcesivo de servicios u otras prácticas que, directa o indirectamente, resulten en gastos innecesarios.

a. Ciertob. Falso

6. El abuso implica recibir pagos de servicios que no fueronofrecidos, y cuando no existe un derecho legal de recibirpagos por servicios que intencionalmente fueron falsificados.

a. Ciertob. Falso

7. Algunas de las leyes que se relacionan con el fraude incluyenla Ley HIPAA, la Ley de Reclamaciones Falsas, el Estatuto Anti-Kickback; las Exclusiones de OIG, entre otros.

a. Ciertob. Falso

8. ¿Qué necesita hacer para proteger información “PHI” en sutrabajo?

a. Salvaguardar la informacion confidencialb. Dejar documentos o reportes encima del escritorioc. Discutir casos confidenciales en públicod. Ninguna de las anteriores

9. Las sanciones civiles son impuestas por la Oficina de Derechos Civiles.

a. Ciertob. Falso

Favor de seleccionar la contestación correcta a cada pregunta:

44

RecursosRecurso Página Web

Protocolo para Proveedores (OIG-Self Disclosure)

https://oig.hhs.gov/compliance/self-disclosure-info/files/Provider-Self-Disclosure-Protocol.pdf

Physician Self-Referral https://www.cms.gov/Medicare/Fraud-and-Abuse/PhysicianSelfReferral

Manual (Medicare Managed Care), Cap. 21 https://www.cms.gov/Regulations-and-Guidance/Guidance/Manuals/Downloads/mc86c21.pdf

Manual (Medicare Prescription Drug Benefit), Cap. 9

https://www.cms.gov/Medicare/Prescription-Drug-Coverage/PrescriptionDrugCovContra/Downloads/Chapter9.pdf

Cómo evitar el fraude y el abuso https://oig.hhs.gov/compliance/physician-education

Regulaciones “Safe Harbor” https://oig.hhs.gov/compliance/safe-harbor-regulations

Materiales Educativos (Cumplimiento 101) https://oig.hhs.gov/compliance/101

Prevención de Fraude al Programa de Saud Federal

https://oig.hhs.gov/compliance/provider-compliance-training

Auditoría y Cumplimiento de Medicare Parte C y D

https://www.cms.gov/medicare/compliance-and-audits/part-c-and-part-d-compliance-and-audits

Regla de Seguridad 164.308(a)(5)(i)(R) https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/administrative/securityrule/adminsafeguards.pdf

Glosario de CMS https://www.cms.gov/apps/glossary

Guía del Programa de Cumplimiento de CMS

https://www.cms.gov/Medicare/Compliance-and-Audits/Part-C-and-Part-D-Compliance-and-Audits/ComplianceProgramPolicyandGuidance.html

45

Referencias

HYPERLINK LEY

https://www.gpo.gov/fdsys/pkg/CFR-2014-title42-vol3/pdf/CFR-2014-title42-vol3-sec422-503.pdf 42 CFR 422.503(b)(4)(vi)

https://www.gpo.gov/fdsys/pkg/CFR-2014-title42-vol3/pdf/CFR-2014-title42-vol3-sec423-504.pdf 42 CFR 423.504(b)(4)(vi)

http://www.gpo.gov/fdsys/pkg/USCODE-2013-title31/pdf/USCODE-2013-title31-subtitleIII-chap37-subchapIII.pdf 31 U.S.C. 3729-3733

http://www.gpo.gov/fdsys/pkg/USCODE-2013-title18/pdf/USCODE-2013-title18-partI-chap63-sec1346.pdf 18 U.S.C. 1346

http://www.gpo.gov/fdsys/pkg/USCODE-2013-title42/pdf/USCODE-2013-title42-chap7-subchapXI-partA-sec1320a-7b.pdf 42 U.S.C. 1320A-7b(b)

https://www.ssa.gov/OP_Home/ssact/title11/1128B.htm Social Security Act 1128B(b)

http://www.gpo.gov/fdsys/pkg/CFR-2014-title42-vol5/pdf/CFR-2014-title42-vol5-sec1001-1901.pdf 42 CFR 1001.1901

https://exclusions.oig.hhs.gov Exclusion OIG

http://www.gpo.gov/fdsys/pkg/USCODE-2013-title42/pdf/USCODE-2013-title42-chap7-subchapXVIII-partE-sec1395nn.pdf 42 U.S.C. 1395nn

http://www.gpo.gov/fdsys/pkg/USCODE-2013-title42/pdf/USCODE-2013-title42-chap7-subchapXI-partA-sec1320a-7.pdf 42 U.S.C. 1320a-7

http://www.gpo.gov/fdsys/pkg/USCODE-2011-title18/pdf/USCODE-2011-title18-partI-chap63-sec1347.pdf 18 U.S.C. 1347

https://www.ssa.gov/OP_Home/ssact/title18/1877.htm Social Security Act, 1877

http://www.ssa.gov/OP_Home/ssact/title11/1128A.htm Social Security Act, 1128A(a)

https://www.gpo.gov/fdsys/pkg/CFR-2014-title42-vol3/pdf/CFR-2014-title42-vol3-sec422-503.pdf 42 CFR 422.503(b)(4)(vi)

https://www.gpo.gov/fdsys/pkg/CFR-2014-title42-vol3/pdf/CFR-2014-title42-vol3-sec423-504.pdf 42 CFR 423.504(b)(4)(vi)

46